Configurar a proteção avançada contra DDoS da rede

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Um ataque distribuído de negação de serviço (DDoS, na sigla em inglês) é uma tentativa deliberada de um ator hostil interromper operações de sites, sistemas e APIs expostos publicamente com o objetivo de prejudicar a experiência de usuários legítimos. Para cargas de trabalho que usam balanceador de carga de rede TCP/UDP externo (balanceamento de carga de rede), encaminhamento de protocolo ou VMs com IP público, o Google Cloud Armor oferece as seguintes opções para ajudar a proteger sistemas contra ataques DDoS:

  • Proteção padrão contra DDoS de rede: proteção básica sempre ativada para balanceadores de carga de rede, encaminhamento de protocolo ou VMs com endereços IP públicos.
  • Proteção avançada contra DDoS de rede: proteções adicionais para assinantes do Managed Protection Plus que usam balanceadores de carga de rede, encaminhamento de protocolo ou VMs com endereços IP públicos. Para mais informações sobre a Proteção gerenciada, consulte a Visão geral da Proteção gerenciada.

Neste documento, explicamos a diferença entre a proteção padrão e avançada contra DDoS de rede, como a proteção avançada contra DDoS de rede funciona e como ativar a proteção avançada contra DDoS de rede.

Comparar a proteção padrão contra DDoS de rede e a proteção avançada

Use a tabela a seguir para comparar os recursos padrão e avançados de proteção contra DDoS da rede.

Recurso Proteção contra DDoS de rede padrão Proteção avançada contra DDoS de rede
Tipo de endpoint protegido
  • Balanceadores de carga de rede
  • Encaminhamento de protocolo
  • VMs com endereços IP públicos
  • Balanceadores de carga de rede
  • Encaminhamento de protocolo
  • VMs com endereços IP públicos
Filtragem padrão de ataques DDoS
Aplicação da regra de encaminhamento
Monitoramento e alertas de ataque sempre ativados
Mitigações de ataques direcionados
Telemetria de mitigação

Como funciona a proteção contra DDoS de rede

A proteção padrão contra DDoS de rede está sempre ativada. Não é necessário fazer nada para ativá-la.

A proteção avançada contra DDoS de rede é configurada por região. Quando ativada para uma região específica, o Google Cloud Armor fornece detecção e mitigação de ataques volumétricos sempre ativados para balanceadores de carga de rede, encaminhamento de protocolo e VMs com endereços IP públicos nessa região. Você só pode aplicar a proteção avançada contra DDoS de rede a projetos inscritos no Managed Protection Plus.

Ao configurar a proteção avançada contra DDoS da rede, primeiro crie uma política de segurança do tipo CLOUD_ARMOR_NETWORK em uma região escolhida. Em seguida, atualize a política de segurança para ativar a proteção avançada contra DDoS da rede. Por fim, você cria um serviço de segurança de borda de rede, um recurso ao qual é possível anexar políticas de segurança do tipo CLOUD_ARMOR_NETWORK. Anexar a política de segurança ao serviço de segurança de rede ativa a proteção avançada contra DDoS de rede para todos os endpoints aplicáveis na região escolhida.

Ativar a proteção avançada contra DDoS de rede

Siga estas etapas para ativar a proteção avançada contra DDoS da rede.

Inscrever-se no Managed Protection Plus

Seu projeto precisa estar inscrito no nível Plus da proteção gerenciada para ativar a proteção avançada contra DDoS de rede por região. Depois de ativados, todos os endpoints regionais na região ativada recebem proteção avançada contra DDoS de rede sempre ativada.

Verifique se há uma assinatura ativa do Managed Protection Plus na conta de faturamento e se o projeto atual está inscrito no Managed Protection Plus. Para ver mais informações sobre como se inscrever na Proteção gerenciada, consulte Como se inscrever no nível Plus da proteção gerenciada e inscrever projetos.

Configurar a proteção avançada contra DDoS da rede

Siga estas etapas para ativar a proteção avançada contra DDoS da rede. Substitua as variáveis pelas informações relevantes à implantação.

  1. Crie uma política de segurança do tipo CLOUD_ARMOR_NETWORK ou use uma atual com o tipo CLOUD_ARMOR_NETWORK. Substitua SECURITY_POLICY_NAME pelo nome que você quer para a política de segurança e substitua REGION pela região em que ela será provisionada.

    gcloud compute security-policies create SECURITY_POLICY_NAME --type CLOUD_ARMOR_NETWORK --region REGION
    
  2. Atualize a política de segurança recém-criada ou atual definindo a sinalização --network-ddos-protection como ADVANCED.

    gcloud compute security-policies update SECURITY_POLICY_NAME --network-ddos-protection ADVANCED --region  REGION
    
  3. Crie um serviço de segurança de borda de rede que faça referência à sua política de segurança.

    gcloud compute network-edge-security-services create SERVICE_NAME --security-policy SECURITY_POLICY_NAME --region REGION
    

Desativar proteção avançada contra DDoS de rede

Para desativar a proteção avançada contra DDoS da rede, atualize a política de segurança definindo a flag --network-ddos-protection como STANDARD ou exclua a política de segurança.

Atualizar a política de segurança

Use o comando a seguir para atualizar a política de segurança e definir a sinalização --network-ddos-protection como STANDARD. Substitua as variáveis pelas informações relevantes à implantação.

  gcloud compute security-policies update SECURITY_POLICY_NAME --network-ddos-protection STANDARD --region  REGION
  

Excluir a política de segurança

Antes de excluir uma política de segurança de borda da rede, é preciso removê-la do serviço de segurança de borda da rede, porque não é possível excluir políticas de segurança em uso. Siga estas etapas para excluir sua política de segurança.

  1. Remova a política do serviço de segurança de borda da rede ou exclua o serviço de segurança de borda da rede.
  2. Exclua a política de segurança usando o seguinte comando:

    gcloud compute security-policies delete NAME
    

Telemetria de mitigação de DDoS de rede

As seções a seguir explicam como usar a telemetria para analisar ataques e as fontes.

Registros de eventos de mitigação de ataques do Cloud Logging

O Google Cloud Armor gera três tipos de logs de eventos ao reduzir os ataques DDoS. As seções a seguir oferecem exemplos do formato de log para cada tipo de log de eventos:

  • Mitigação iniciada

    @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
    alertId: "11275630857957031521"
    mitigation_type: "MITIGATION_STARTED"
    target_vip: "XXX.XXX.XXX.XXX"
    total_volume: {
      pps: 1400000
    }
    started: {
    total_attack_volume: {
      pps: 1100000
    }
    classified_attack: {
      attack_type: "ntp amplification"
      attack_volume: {
        pps: 500000
      }
    }
    classified_attack: {
      attack_type: "ssdp amplification"
      attack_volume: {
        pps: 600000
      }
    }
    }
    
  • Mitigação em andamento

    @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
    alertId: "11275630857957031521"
    mitigation_type: "MITIGATION_ONGOING"
    target_vip: "XXX.XXX.XXX.XXX"
    total_volume: {
      pps: 1500000
    }
    ongoing: {
    total_attack_volume: {
      pps: 1100000
    }
    classified_attack: {
      attack_type: "ntp amplification"
      attack_volume: {
        pps: 500000
      }
    }
    classified_attack: {
      attack_type: "ssdp amplification"
      attack_volume: {
        pps: 600000
      }
    }
    }
    
  • Mitigação concluída

    @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
    alertId: "11275630857957031521"
    mitigation_type: "MITIGATION_ENDED"
    target_vip: "XXX.XXX.XXX.XXX"
    ended: {
      attack_duration_seconds: 600
    }
    

Para ver esses registros, acesse o Explorador de registros e veja o recurso network_security_policy.

Acessar o Explorador de registros

Para mais informações sobre como visualizar registros, consulte Como visualizar registros.